Skocz do zawartości
Zakładanie tematu: pomocne raporty i informacje
Nadchodzące zmiany w logowaniu

"Przeskakujące" ikony na pasku

rapidsebuja

Przez rapidsebuja
w Windows 7

Rekomendowane odpowiedzi

rapidsebuja

rapidsebuja

Opublikowano
Opublikowano

Wiem ze cos zlapalem ale nie moge niczym tego czegos usunac....

Kiedys pisalem na jakis forum o tym problemie ale nic nikt nie zdzialal i potraktowalem dysk active kilem.

Niestety ktorys z penow byl zainfekowany i powtorka z rozrywki....

Tym razem zalezy mi bardzo na wykryciu przyczyny i usunieciu problemu

 

Zainstalowany system: windows 7 ultimate x64 sp1 pl

 

Virus wkrada sie prawdopodobnie do wszystkich plikow .exe....

Na pewno jest w explorer.exe poniewaz ikony w pasku na dole dziwnie "przeskakuja" widac jak by sie cos uruchamialo i konczylo prace. trwa to zaledwie ulamek sekundy ale jest to zauwazalne i denerwujace.

jezeli koputer nie ma dostepu do internetu to dziwne "skakania" wystepuja zadko ale od momentu podpiecia netu nasila sie "to"

bardzo zalezy mi na wykryciu tego czegos.

prosze o pomoc....

 

tu link do logow 

http://www.wklejto.pl/98360

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

EDIT: W związku z tym, iż się wydało, że logi z pierwszego posta są nieaktualne i nie pasują do sytuacji systemowej, poniższa treść zostaje schowana.

 

 

 

Nie łącz wszystkich logów w jednym pliku. Jest to dla mnie denerwujące w analizie. Jeden log = jeden plik. Ponadto, zdublowałeś wiele informacji załączając chaotycznie logi, o które tu nie pada pytanie wstępne. OTL robiony na ustawieniach z obcego forum. Nie zakładaj, że wszędzie pada prośba o taką samą konfigurację.... To co wkleiłeś w oknie to przestarzałe warunki skanu.

 

 

GMER nic nie znalazl... poniewaz moge wbrac tylko uslugi rejestr i pliki, ADS

 

Nic dziwnego, GMER nie działa na systemie 64-bit. I jest tylko jeden znany mi rodzaj infekcji rootkit możliwy na systemie takich bitów: rootkit w MBR dysku.

 

 

Przeskanowalem jeszcze "scanspyware"-m i wyskoczylo tylko cos takiego:

 

Zacznijmy od tego, że jest to program wątpliwej reputacji (bardzo długo był na czarnej liście). Zamiast wykonywać nim skan, należy się go pozbyć z systemu. Tyle w tej kwestii.

 

 

Virus wkrada sie prawdopodobnie do wszystkich plikow .exe....

Na pewno jest w explorer.exe poniewaz ikony w pasku na dole dziwnie "przeskakuja" widac jak by sie cos uruchamialo i konczylo prace. trwa to zaledwie ulamek sekundy ale jest to zauwazalne i denerwujace.

jezeli koputer nie ma dostepu do internetu to dziwne "skakania" wystepuja zadko ale od momentu podpiecia netu nasila sie "to"

bardzo zalezy mi na wykryciu tego czegos.

 

Skąd teoria o wirusie w wykonywalnych? Póki co, to na razie teoria z Koziej Wólki. Tu jest system 64-bit, a na takim wirusy w wykonywalnych, o ile zdołają się prześlizgnąć metodą pośrednią, mogą co najwyżej zająć część 32-bitową, nie mogą zaatakować 64-bitowych procesów (explorer.exe, który działa, to jest 64-bitowy proces). Pewien składnik infekcji (zresztą 32-bitowy), już został usunięty ComboFixem:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Igahya.exe
 
 
- - - - USUNIĘTO PUSTE WPISY - - - -
 
Wow6432Node-HKCU-Run-1BGZDODGYQ - c:\windows\Igahya.exe

Ale to nie jest całość. Otóż masz więcej fragmentów tej infekcji (to NIE JEST infekcja w wykonywalnych):

 

[2011-05-23 17:53:08 | 000,030,424 | ---- | C] () -- C:\Windows\SysWow64\wrLZMA.dll
[2011-05-23 17:50:41 | 000,073,216 | RHS- | C] () -- C:\Windows\SysWow64\KBDHU1F.dll

Dodatkowo, widzę sterowniki PrivateFirewall oraz Webroot / Sunbelt, ale nie ma tych programów na liście zainstalowanych. Wygląda to na resztki. Po usunięciu tego co wyżej podam jak to wyeliminować z systemu.

 

DRV:64bit: - [2011-05-02 10:46:38 | 000,109,864 | ---- | M] (Privacyware/PWI, Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\pwipf6.sys -- (pwipf6)
DRV:64bit: - [2011-04-18 18:05:08 | 000,137,760 | ---- | M] (Webroot Software, Inc. (www.webroot.com)) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\ssidrv.sys -- (SSIDRV)
DRV:64bit: - [2011-04-18 18:05:06 | 000,058,480 | ---- | M] (Webroot Software, Inc. (www.webroot.com)) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\ssfmonm.sys -- (SSFMONM)
DRV:64bit: - [2011-01-27 09:04:36 | 000,056,920 | ---- | M] (Sunbelt Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\sbredrv.sys -- (SBRE)

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysWow64\wrLZMA.dll
C:\Windows\SysWow64\KBDHU1F.dll
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17825"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=17825&q="
[2011-05-23 17:59:37 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (no name) - {c8d5d964-2be8-4c5b-8cf5-6e975aa88504} - No CLSID value found.
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O2 - BHO: (no name) - {D93EC24D-8741-4D41-B83D-A5793B998416} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {97ab88ef-346b-4179-a0b1-7445896547a5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz z tego działania log.

 

2. Do oceny: wynik z usuwania + nowy skan z OTL. Proszę nie wklejaj żadnych warunków do okna.

 

 

 

Edytowane przez picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

rapidsebuja proszę używaj opcji "Edytuj", jeśli nikt jeszcze nie odpisał pod Tobą, zamiast tworzyć dwa bezsensowe posty. Łączę.

 

Co do skryptu: ile razy go użyłeś? Prawie wszystko jest not found, czyli nic nie wykonane. Jeśli skrypt przepuściłeś więcej niż raz to nic dziwnego, bo to jest nielogiczne, skrypt jest jednorazowego użytku i nie wolno go powtarzać. Oceniając cały log z OTL: nie ma tu już żadnych śladów infekcji, dodatkowo zmieniłeś konfigurację i uprzednio widziane sterowniki odpadki nie są już pokazywane. Następnie: logi się znacznie różnią, tzn. pojawiły się softy które wcześniej nie były widoczne: COMODO, tweaker tematów i o zgrozo crack Office:

 

O22:[b]64bit:[/b] - SharedTaskScheduler: {F791A188-699D-4FD4-955A-EB59E89B1907} - Theme Resource Changer - \Program Files\Theme Resource Changer\ThemeResourceChanger.dll ()
 
SRV - [2011-05-27 09:47:28 | 000,008,192 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\srvany.exe -- (KMService)

W trakcie trwania diagnostyki komputera nie powinno się instalować nic dodatkowego, a zwłaszcza oprogramowania zabezpieczającego, sztucznych modyfikacji, nie wspominając już nawet o crackach (!), by nie zaciemniać dochodzenia.

 

 

Dalej to samo....

 

+

 

eset smart security 5, kaspersky, aschampoo antimalware, dr web , g-data, panda, bitdefender, webroot, malwarebytes nie poradzily sobie z tym problemem...

 

A może tu należy założyć, że to wcale nie jest efekt pochodzący z infekcji? Ten objaw jej nie definiuje. Równie dobrze jakiś nieszkodliwy proces lub inna usterka mogą to generować.

 

1. Wstępnie przetestuj czy efekt występuje w stadium czystego rozruchu (KB929135) oraz w Trybie awaryjnym z obsługą sieci.

 

2. Tweaker Sunrise Seven: co w nim przeprowadzałeś? Ewidentnie było tu mieszane, bo plik explorer.exe stoi jako odświeżony i jest kopia:

 

[2011-05-25 16:32:39 | 002,871,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\explorer_.exe.Back.4.15509241128112
[2011-05-25 16:32:39 | 002,871,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\explorer.exe

Jeśli przykładowo w Sunrise wymieniałeś bitmapę Orb = to jest równoznaczne ze sztuczną ingerencją w explorer.exe. Jeśli cokolwiek się dzieje z systemem, trzeba odkręcić wszystkie obce modyfikacje, by się upewnić, że nie mają nic do rzeczy.

 

3. Dla świętego spokoju jeszcze podaj raport z Kaspersky TDSSKiller. Jeśli i on nic nie wykryje, definitywnie zarzucam tu koncepcję infekcji. Co było widzialne, już usunięte. Żaden skaner nic nie widzi.

 

 

 

 

 

.

Odnośnik do komentarza
rapidsebuja

rapidsebuja

Opublikowano
  • Autor
Opublikowano

wlasnie sie zorientowalem ze logi dalem z poprzedniej windy......

tweakery i cracki uzywalem zaaawsze i inni tez to robia.

nic nie bylo instalowane podczas generowania logow przegladalem tylko neta...

 

Moze inaczej, mam inny dysk pusty, niezainfekowany. zainstaluje na nim windowsa tego ktorego mam, zainstaluje tylko stery i nic wiecej, poprzezucam jakis pare plikow z zainfekowanego dysku zeby go "zarazic" i w tedy zrobie skan OTL-em i wrzuce logi.

Nie chce mieszac tylko po prostu za duzo zeczy na raz robilem i tak wyszlo.

Zrobie od nowa tak zeby mialo "rece i nogi"

 

 

A tu jeszcze log z Tdsskillera:

http://www.wklejto.pl/98440

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
wlasnie sie zorientowalem ze logi dalem z poprzedniej windy......

 

Proszę podaj pasujące logi.

 

 

Moze inaczej, mam inny dysk pusty, niezainfekowany. zainstaluje na nim windowsa tego ktorego mam, zainstaluje tylko stery i nic wiecej, poprzezucam jakis pare plikow z zainfekowanego dysku zeby go "zarazic" i w tedy zrobie skan OTL-em i wrzuce logi.

 

Bez sensu. Logi na 100% nic nie wykażą. Ponadto, Ty ciągle określasz dysk jako "zainfekowany", a fakty tu są takie: żaden skaner nic nie wykrywa.

Do przeprowadzenia za to masz testy z czystym rozruchem i Trybem awaryjnym.

 

 

tweakery i cracki uzywalem zaaawsze i inni tez to robia.

 

Oczywiście, że inni to robią. Tylko, że niestety nie zawsze wyniki są takie same. Połowa zainfekowanych w tym dziale jest dzięki crackom. Działań tweakerów nie można wcale przewidzieć, jest dużo tematów gdzie takie modyfikacje mogą się zemścić, pójść inaczej niż przewidywane. Nie ma identycznych konfiguracji, nie da się przewidzieć rezultatów.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

rapidsebuja powtarzam po raz drugi = stosuj funkcję Edytuj, by uzupełnić post, zamiast tworzyć dwa bezsensowne posty pod sobą, jeśli nikt jeszcze nie odpisał. Ponownie łączę.

 

Nie podałeś także logów z aktualnego systemu, poprzednio jakieś niepasujące podane....

 

 

sory ale co masz na mysli mowiac czysty rozruch?

 

Nie przeczytałeś dokładnie:

 

w stadium czystego rozruchu (KB929135)

 

Podany link z instrukcjami!

 

 

Chce to zrobic na "czystym" systemie aby wyeliminowac podejzenie ze "nabroil" jakis crck lub tweaker

 

Przecież: to będzie czysta instalacja i zupełnie inne środowisko i nic to nie udowodni, bo system inny do oceny będzie. I rzecz jasna wtedy mi logi niepotrzebne, nic nie wykażą.

Skoro Ty takie kombinacje planujesz, to po co "na drugim dysku", logiczniejszym byłoby przeinstalować od zera aktualny system. Co nawiasem mówiąc i tak uznaję za przesadę na aktualnym etapie.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Odnoszę wrażenie, że się nie rozumiemy. Logi masz podać z Trybu normalnego a nie z innych. Natomiast czysty rozruch i Tryb awaryjny to testy, czy w tych konfiguracjach procesów widać efekt, który opisujesz. A trzecim testem było: zdjąć wszystkie modyfikacje, o ile coś mieszałeś w tweakerze (czyli przywrócić domyślne wartości Windows).

Odnośnik do komentarza
rapidsebuja

rapidsebuja

Opublikowano
  • Autor
Opublikowano

podaje logi t otl po cofnieciu zmian UniversalThemePatcher-a , i cofnieciu zmian w sunrisie-e oraz windows 7 manager-a.

 

extras : 

http://www.wklejto.pl/98459

otllog : 

http://www.wklejto.pl/98460

 

dodam ze nie moge nie styty cofnac zmian w plikach:

folder System32
imageres.dll
imagesp1.dll
shell32.dll
zipfldr.dll
folder SysWOW64
imageres.dll
imagesp1.dll
shell32.dll
zipfldr.dll

poniewaz nie wykonalem kopi...

 

A tutaj logi z czystego rozruchu:

extras : 

http://www.wklejto.pl/98462

otllog : 

http://www.wklejto.pl/98463

 

 

W trybie awaryjnym otl.exe nie odpowiada...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Mówiłeś:

 

wlasnie sie zorientowalem ze logi dalem z poprzedniej windy......

 

To które logi tak naprawdę są z systemu, który ma problem? Tu podane logi są identyczne jak logi z posta #7. Czy to oznacza, że logi podane w pierwszym poście to w ogóle nieaktualne? Jeśli tak, to okropne wprowadzenie w błąd.

 

 

2. Mówiłam Ci:

 

Logi masz podać z Trybu normalnego a nie z innych. Natomiast czysty rozruch i Tryb awaryjny to testy, czy w tych konfiguracjach procesów widać efekt, który opisujesz. A trzecim testem było: zdjąć wszystkie modyfikacje, o ile coś mieszałeś w tweakerze (czyli przywrócić domyślne wartości Windows).

 

A Ty mi podajesz dwa zestawy logów (na co mi to), chodziło tylko o jednorazowe logi z Trybu normalnego i koniec kropka. A czysty rozruch i Tryb awaryjny = to miało służyć do oceny czy występuje ten problem. No i pytam się: czy w czystym rozruchu i Trybie awaryjnym "ikony w pasku na dole dziwnie "przeskakuja"". Ponadto: kiedy został tu doinstalowany COMODO, czy on był gdy efekt się pojawił? Zasugerowana rozbieżnością logów widzialną uprzednio założyłam, że COMODO został zainstalowany już po, a tu wydaje się, że wcale to nie jest pewne, bo logi pochodzą z różnych postaci systemu. Czyli: jeśli COMODO cały czas tu był w systemie, to jest kolejny podejrzany do sprawdzenia, czy aby on nie generuje tego efektu. Sprawdzenie polega na deinstalacji tego oprogramowania, gdyż deaktywacji kompletnej nie da się zrobić (wyłączenie COMODO nie wstrzymuje sterowników COMODO).

 

 

W trybie awaryjnym otl.exe nie odpowiada...

 

Nie prosiłam Cię o logi z tych trybów.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Temat nie ma zazębienia z infekcją i mamy jasne wyniki, zmieniam tytuł z "Trudna do wykrycia i usuniecia infekcja" na ""Przeskakujące" ikony na pasku" i temat przenoszę do działu Windows 7. Moją pierwszą odpowiedź w temacie chowam do spoilera, gdyż traci całkowicie znaczenie w obliczu nieświeżych logów....

 

 

mam pytanie czy moze byc tak ze pliki o ktorych pisalem wczesniej w poscie 15 koliduja z patcherem lub sunrisem?? (pliki sa pod bulid 7600 a moj windows jest 7601)

 

+

 

dodam ze nie moge niestety cofnac zmian w plikach:

 

folder System32

imageres.dll

imagesp1.dll

shell32.dll

zipfldr.dll

 

folder SysWOW64

imageres.dll

imagesp1.dll

shell32.dll

zipfldr.dll

 

A skąd te pliki brałeś i co miała na celu ta modyfikacja? Nie wszystkie z tu podanych plików po instalacji SP1 są aktualizowane (image*.dll pozostają z markerem 7600). W związku z tym, iż nie wiem jakie zmiany w plikach robiłeś / jakie jest pochodzenie plików, na wszelki wypadek przesyłam fabryczne pliki z Windows 7 Ultimate x64 SP1: KLIK. W razie kłopotów z podmianą tutorial o uprawnieniach: KLIK.

 

Natomiast co tak naprawdę stanowi problem dla tych patcherów = nie wiem. Z patcherami tak bywa, to są obce dla systemu modyfikacje i nie ma gwarancji, że na każdym systemie nie będzie żadnych skutków ubocznych.

 

 

 

.

Edytowane przez picasso
6.06.2011 - Nic więcej nie komentujesz. Rozumiem, że temat ukończony i zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...